来源:黑奇士(ID:hqssima)
“(假使指控真实)猎豹做的就是在抢归因,国内不少媒体都在做,只不过这次好像被老外抓现行了。”某不愿透露姓名的安全人士表示,“国内广告行业的作弊比老外揭露出来的要恶劣很多。”
“抢归因”是广告作弊行业的黑话:甲方公司要想推广自己的App,需要给广告推广公司支付一定的费用,每次安装3-20元不等。
要想支付这3元,需要知道用户在安装之前最后一次点击来自哪里,来自百度就给百度3元,来自搜狗就给搜狗3元。为了这3元的归属,所有的广告平台都在各显神通,争取把自己的广告渠道标识传递给甲方公司,或甲公司雇佣的效果监测平台。
这些用来抢夺3元归属权的技术手段,就被称之为“抢归因”;像猎豹这样的公司,在行业内被称之为“媒体”。(广告业内所说的媒体,跟咱们理解的大众媒体不一样)
此次BuzzFeed news报道的最初源头,是一家名为Kochava广告反欺诈方案提供商,位于美国爱荷华州。
黑奇士试图联系Kochava,索取详细技术分析报告,截至发稿时未获回音。
猎豹发生了什么事?
根据Kochava的指控,猎豹旗下的七款App,包括猎豹清理大师、猎豹安全大师、猎豹锁屏等世界流行应用,在监控用户的App下载,当用户下载之后,猎豹会把自己的广告代码传递给广告商,以此来获取广告商的下载分成。
除了猎豹之外,知名输入法Kika也受到了该指控(2016年,猎豹和天神娱乐投资了该公司)。
BuzzFeed news的报道中说,除了“抢归因”,猎豹这七款应用,还会在用户不知情的情况下,偷偷下载安装安卓App,当用户看到桌面上增加的图标并点击,猎豹也可以从广告商那里获得分成。(As an extra piece of insurance, Simmons says Cheetah’s Apps are also programmed to launch the newly downloaded App without the user’s knowledge. )
在北京时间27日晚上,猎豹发布《对App安装归因问题的回应》:高度重视这篇文章中提到的问题,公司正在和所有SDK提供方沟通并调查此事。猎豹承诺,一旦问题查实,会对提供问题SDK公司停止合作。
28日凌晨,猎豹第二次声明,由于Kochava 提供了有关猎豹移动广告系统的不实信息,猎豹决定对该公司予以起诉。
受消息影响,在昨日的美股市场上,猎豹移动(CMCM)大跌32.84%
Kochava的指控真实性有待确认
黑奇士采访了多家国内移动安全公司,多位专家表示:Kochava揭露的这种事情在国内确实存在,但因为它未公布详细的技术细节(比如有恶意行为的App版本号,MD5值,监控了哪些App的新增下载等,有了这些消息才能重现问题),真实性还有待进一步确认。
顶象技术反欺诈专家分析指出:
BuzzFeed的报告如果属实,这里面涉及到三个角色:App(广告呈现方,这里指猎豹这样的媒体)、 ADSDK(广告分发平台,在这里指提供SDK的广告公司)、广告客户;其中,App和ADSDK是收费方,而广告客户是付费方。也就是说,两个收费方都有推广作弊的动机。
(1)如果是App作弊:表明 ADSDK提供的SDK被破解或业务逻辑被绕过。
路径是这样:用户授权App高级权限,也就是猎豹App在安装时要求用户同意的那些权限,电话本、地理位置等,绝大多数用户不懂,会直接点同意。这些权限会用来监听新应用的安装和信息读取。
当用户安装新的App后,>App(广告呈现方)监听到用户下载行为,于是伪造一个推广链接,发给ADSDK,于是抢归因成功,一个用户的自然下载被记录成了广告商的付费推广,广告主白白花了冤枉钱。
几年前,有用户通过某浏览器点击淘宝链接,会自动带上该公司的淘宝客推广码;下单支付后,就变成该公司的淘宝推广。当年该公司收到大量淘宝客的声讨,后来淘宝终止了和该公司的推广合作。
(2)、如果是 ADSDK作弊(猎豹的声明中暗示可能是SDK存在问题):表明SDK本身暗藏的作弊程序或远程操控的后门。
(黑奇士注释:作为全球领先的移动安全公司,猎豹旗下的CM、CMS都拥有数亿用户,这样的公司如果说发现不了SDK的安全问题,情理上十分可疑。)
路径是这样:ADSDK拥有高级权限(监听新应用的安装和信息读取)——>当用户安装新的App后—>ADSDK(广告分发平台)读取应用信息后伪造推广链接请求—>发给广告商。
黑奇士采访了国内某移动安全专家,专家表示,如果是安全产品中嵌入广告SDK,一般会将其列入到安全软件的白名单中,不再对其行为做实时监控。因为如果监控的话,一方面会消耗大量资源,另一方面也可能会产生误报。
这点倒是跟猎豹的声明相吻合,“我们通过SDK集成与许多主流广告平台合作。我们通过SDK从这些广告平台获得广告,并显示他们的广告,我们无法控制这些SDK的行为。”(SDK加入白名单之后,其恶意行为会被安全软件放过,无法监控)
黑奇士认为,即使在嵌入之后无法对SDK的恶意行为做监控,但事前的SDK安全审核、提供商的过往信誉都应该是实际需要考虑的因素。因为事情如果已经发生,再说“断绝合作”就有点自欺欺人,毕竟广告主的钱是真金白银给了你,你如果只是“断绝合作”,那跟花了钱的广告主怎么交代,人家的损失谁来赔?
后续影响:猎豹股价大跌,全球广告主信心受挫
尽管广告行业内作弊盛行,但猎豹这种数字广告行业的领先者是首次遭到此项指控,这将大大影响到广告客户对数字精准广告的信心。以前遭到指控的都是不知名公司,而且事件往往不了了之。
按照业内人士的说法,猎豹遭到指控的这种“抢归因”在以往往往会被放过去。毕竟有真实用户下载,钱给了谁并不重要,广告行业的所有环节都是受益者:甲方有了客户,广告商有了代理费,猎豹这样的媒体拿到了广告分成。
对于用户,这些操作都隐藏在幕后,并未对用户的使用体验造成影响。
因此,大家都没有动力去解决这样的事情。
基于这种逻辑,猎豹的股价昨晚大跌32.84%,已经低于今日头条的股份价格和现金之和。这意味着市场认为猎豹的业务价值已经趋近于零。
但猎豹早上起诉Kochava的消息挽回了用户的少许信心,股价在盘后回升了11%
各方如何防范类似事情再次发生?
对于这种欺诈行为,受害最重的是广告主,比如游戏公司、工具软件等。对于这类广告主,应该加强自己的广告反欺诈能力,不要片面依赖于广告分发商、媒体自带的反欺诈。
顶象技术反欺诈专家指出,如果是SDK被破解或业务逻辑被绕过,可以采用顶象SDK加固产品对SDK源码进行安全强化,防止协议被破解,同时能够防御注入、调试、内存修改等攻击,保护敏感信息输入和敏感操作。
对于猎豹这样的厂商,我觉得应该加强自己的业务安全能力(猎豹曾是我的老东家,在感情上我不愿意承认这种问题是公司行为,如果问题真的存在的话),在把广告SDK列入白名单之前,一定要慎之又慎,毕竟,你赌上的是自己的全部信誉啊!
另外,除了发表官方声明之外,包括我在内的网友也希望看到更多证据,比如Kochava指控报道的完整版,文件名、下载路径、版本号、广告投放素材等,有这些东西,才能把事情的性质完全钉死。
而猎豹在声明起诉Kochava之外,也要拿出来更多证据,比如App里包含的所有广告SDK,这些SDK拥有哪些权限,这些权限的取得是否必要,等等,做一个完整的安全性审查,以此让个人用户和企业用户恢复信心。官样文章的声明和起诉,并不足以打消用户的顾虑。
最后,希望猎豹作为中国第一个真正走向全球的移动App开发商,要扛过这一关!